8 Virus informáticos que pusieron internet a sus pies. (II)

SQL Slammer/Sapphire

Lanzado en 2003 se diseminaba por una vulnerabilidad de sobrecarga de buffer en el servicio de control de bases de datos en Microsoft SQL server. Escaneaba direcciones IP aleatorias a las que infectar. A su vez, estos servidores infectados se encargaban de infectar otros servidores. Después de 3 minutos de haber infectado a su primera víctima, el número de servidores infectados por Slammer se doblaba cada 8,5 segundos. Como podéis imaginar esto provocaba una especie de ataque DDOs en los que los servidores eran infectados e infectaban a otros servidores sin parar; ralentizando su funcionamiento.

El daño.

Causó 750 millones de dolares en daños. Causó problemas en los cajeros ATM y en otros servicios bancarios. El sistema de venta de billetes online de Continental Airlines quedó paralizado. Corea del Sur perdió casi totalmente su conexión a internet y periódicos (Associated Press entre otros) e instituciones gubernamentales no se libraron tampoco, incluyendo los servicios del Ministerio de Defensa que ya son palabras mayores.

Sasser

Este es muy famoso y probablemente habréis oído hablar de él. Fue creado por Sven Jaschan, un joven de 17 años de Alemania.
Sasser explotaba una vulnerabilidad de un sistema de Windows llamado LSASS, que se encarga de controlar el acceso de usuarios al sistema, el cambio de contraseñas y la creación de tokens de seguridad (https://es.wikipedia.org/wiki/Servicio_de_Subsistema_de_Autoridad_de_Seguridad_Local) Como los anteriores, este virus escaneaba direcciones IP aleatorias hasta encontrar una que fuera aleatoria. A continuación se descargaba automáticamente al directorio de Windows. La siguiente vez que la computadora era encendida era infectaba. No tenía ningun efecto especialmente virulento, ralentizaba el funcionamiento del ordenador y se notaba cuando estaba infectado en que costaba mucho apagarlo, teniendo incluso que desconectarlo de la red "a lo bruto". La novedad de este virus es que afectaba a ordenadores de escritorio sin que el usuario tuviera que descargarse nada ni abrir ningún fichero y el hacker no tenía que "apuntar" a ninguna víctima en particular. El virus lo hacía todo automáticamente, el usuario solo tenía que estar conectado a internet.

El daño.

Causó 500 millones en daños, y en Taiwan por ejemplo, un tercio de las oficinas postales tuvieron que ser desconectadas de la red.
Sven Jaschan fué sentenciado a 1 año de cárcel y salió a los 9 meses con la condicional. También fue condenado a 30 horas de trabajo comunitario ¿Que son muy bajas las penas? Fue juzgado como menor así que se libró de una buena.

Hay que actualizar el antivirus o asegurarse de que lo hace automáticamente

MyDoom

Originalmente empezó a difundirse por el KaZaA, pero luego se pasó a los correos electrónicos; en ambos casos el usuraio tenía que abrir un archivo para infectarse. En el momento de mayor difusión llegó a infectar uno de cada 12 correos electrónicos al intentar extenderse.

Los ordenadores infectados lanzaban un ataque DDoS a www.sco.com, una compañia de software Linux (?). El virus también abría puertos en los sistemas comprometidos con lo que el hacker podía ganar acceso al mismo. Un segundo ataque de este virus ese mismo año empezó a afectar a los motores de búsqueda, enviando peticiones de búsqueda de direcciones de correo a los motores; llegando a ralentizarlos e incluso hubo que detener algunos servidores. Para mas inri, el virus era capaz de falsear los remitentes de los email haciendo muy difícil su rastreo. Infectó en 600 mil y 700 mil ordenadores.

El daño.

Causó 38 billones (recordamos que son billones americanos), al reducir el acceso a determinados sitios web casi en un 50%; también ralentizó el acceso a internet por todo el mundo en un 10%.

Conficker

Apareció en 2008. Este virus se aprovechaba de una vulnerabilidad de Windows 2000, XP y 2003 Servers que permitía instalar un archivo son autentificar. Podía incluso afectar a servidores con cortafuegos (firewalls ) siempre que tuvieran la impresión y la compartición de archivos activada; incluso podía desactivar programas antimalware. Infectó millones de ordenadores y se difundía igualmente entre memorias USB y redes. Luego se contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional en la computadora víctima.

El daño.

Causó 9.1 billones de dolares en daños. Los cazas del ejército Francés tuvieron que quedarse en tierra pues no podían descargar sus planes de vuelo. También otros sistemas militares fueron infectados incluyendo una veintena de bases aéreas en Reino Unido y mas de la mitad de la Royal NAVY. TEMA SERIO.

Curiosamente como en los ataques recientes, los equipos de varios hospitales en Reino Unido fueron afectados.

REFLEXIONES

Y ahora para terminar me gustaría compartir con ustedes algunas reflexiones sobre el tema de los ataques cibernéticos, pasados, y futuros. También me gustaría que si tienen ustedes alguna reflexión sobre el tema que lo añadieran en los comentarios.

• La primera recomendación que se hace siempre es de mantener nuestro sistema operativo actualizado pero... Actualizado ¿contra qué? como hemos visto en estos casos (o en los mas recientes) casi todos, por no decir todos, atacan vulnerabilidades de los sistemas operativos para las que no hay actualizaciones. Con algunas vulnerabilidades se ha tardado semanas, he incluso meses en lanzar un parche; aunque hay que reconocer que últimamente se dan mas prisa en lanzar una actualización. Al igual que la delincuencia siempre va por delante de la justicia, los virus siempre van por delante de los antivirus; por razones obvias que creo que no es necesario aclarar (o si?).
• En un entorno global en que se confía cada vez mas en las tecnologías de la información, quizás no se están meditando adecuadamente las medidas de seguridad o las consecuencias de delegar en máquinas algunas actividades que siempre han hecho los humanos. Seguramente con buenos técnicos en seguridad se solucionarían muchos de estos casos, pero... Recordemos cuanto les gusta a políticos y empresarios gastar enormes sumas en publicidad y sueldos para directivos mientras en otras áreas se recorta. Solo diŕe que hasta hace un par de años en los hospitales de mi ciudad los ordenadores tenían: Windows XP y 98... 98!!! se imaginan??.
• ¿Se imaginan ustedes una fábrica, pongamos de misiles de crucero, totalmente automatizada que fuera secuestrada por un hacker? Parece un argumento de película ¿verdad? ¿Se imaginan ustedes una central nuclear, desconectada de internet, que fuera afectada por una arma cibernética?¿Otra película verdad? PUES NO, véanlo en este enlace.
• ¿Cuantas veces una compañía de software ha sido advertida sobre vulnerabilidades en sus sistemas y han hecho caso omiso. Y como ejemplo, un botón.
• Y ya para terminar una opinión personal. A pesar de que me apasionan los ordenadores e internet desde pequeño, considero que se esta corriendo a ciegas hacia la automatización o el llamado el internet de las cosas. Sin considerar quizás las cuestiones éticas como la privacidad o la pérdida de puestos de trabajo, y sobre todo la seguridad; como ya he dicho antes, se prioriza el ahorro de costes sobre todo lo demás y lo cierto que da un poco de vértigo. Quizá cuando algunos de estos ataques empiecen a provocar muertos, empezaremos todos a reflexionar sobre todos estos temas como adultos, sin dejarnos deslumbrar por las lucecitas como los niños. ¿Muy exagerado? Ya veremos.

8 Virus informáticos que pusieron internet a sus pies. (I)

A raíz de los recientes acontecimientos; he estado investigando un poco y os traigo esta lista, muy interesante.


Melissa.

Este virus era un macro para Microsoft Word. Un macro es una serie de comandos e instrucciones que se ejecutan automáticamente. Su creador, David L. Smith declaró que le puso ese nombre por una bailarina de Florida. Fué uno de los primero virus que se difundía por correo.

Melissa desactivaba las seguridad de las funciones macro de Word y se diseminada a si mismo mediante un documento enviado por correo, con el típico texto con gancho para que el usuario lo abriera. Además si el sistema tenía Outlook configurado se autoenviaba a los primeros 50 contactos de la libreta de direcciones del usuario.

El daño.

Decenas de miles de personas fueron afectadas apenas seis horas después que el virus se activara por primera vez. Cientos de sitios web fueron afectados e incluso la corporación Microsoft tuvo que desactivar todas las cuentas de correo. Se calcula que causó unos 1.2 billones, (billones americanos*) en pérdidas en empresas y particulares.

*(usaré la medida americana puesto que los cálculos son en dólares. Un billón de dolares son mil millones de dolares......)

Su creador, fue multado con 5.000 dólares y sentenciado a 20 meses de cárcel; y lo que seguramente sería lo peor para él: se le prohibió el acceso a un ordenador sin permiso judicial.

I love you.

Fue presuntamente creado por Onel de Guzman y lanzado desde las Filipinas en el año 2000. El asunto del email que lo difundía decía que contenía una carta de una admirador secreto. Este email venía con una adjunto cuyo nombre era "LOVE-LETTER-FOR-YOU.txt.vbs", o sea que era un script de Visual Basic, pero en la mayoría de clientes de correo de la época la extensión .vbs era omitida, con lo que el usuario pensaba que estaba abriendo un archivo de texto plano .txt.

El virus sobreescribía varios tipos de archivos por copias de si mismo con lo que se aseguraba su difusión si el archivo original era borrado de la computadora. Los tipos de archivo que sobreescribía eran jpeg, .JSE, Mp3, Css entre otros. También se autoenviaba a todos los contactos que el usuario tuviera en Microsoft Outlook. Complementariamente descargaba y ejecutaba un archivo que robaba las contraseñas y las enviaba al correo del hacker. Y si el usuario entraba a un chat IRC (muy de moda en esa época) el virus intentaba infectar a todos los usuarios que estuvieran en esa sala de chat.

El daño.

Se calcula que la décima parte de todos los ordenadores conectado a internet en el 2000 fueron infectados, y alcanzó la increíble cifra de 45 millones de usuarios infectados en un solo día causando 15 billones en daños. Onel de Guzman junto con un supuesto colaborador, fueron arrestados pero puestos en libertad porque Filipinas no tenía leyes contra la creación de virus o malwares.

Código rojo.

Código rojo apareció en Julio del 2001 y una segunda versión apareció al año siguiente. Infectaba los sistemas Windows NT y 2000 explotando una vulnerabilidad de sobrecarga del buffer (link wikipedia).
Funciona enviando al ordenador órdenes, después de una larga cadena de datos sin sentido. Cuando el buffer se llena, la memoria se sobreescribe con las ordenes al final de la cadena. Con este virus no es necesaria la interacción del usuario para que el sistema sea infectado; simplemente solo tiene que estar conectado a internet.

Mientras que los sistemas Windows NT se colgaban mas de lo normal, en los sistemas Windows 2000 el sistema quedaba totalmente compromentido y a merced del control del hacker.

Dependiendo de la fecha el virus tenía varios modos de operación. Apuntar a direcciónes IP aleatorias para expandirse; lanzar un ataque de denegación de servicio (DDoS) a la Ip de la Casa Blanca y a final del mes entraba en modo "sleep".

El daño.

Meses después Microsoft liberó un parche para solucionar esta vulnerabilidad. Entre casi dos millones de computadores fueron infectados, 359.000 en menos de un día; y causó mas de 2 billones en pérdidas.

Nimda.

Lanzado en Septiembre del 2001, justo una semana después del ataque a las torres gemelas. El FBI tuvo que desmentir los rumores de que el virus era un atentado terrorista. Este virus fué durante mucho tiempo el malware que mas rápido se había extendido, con mas de dos millones de ordenadores infectados en las primeras 24 horas. Estaba principalmente dirigido a servidores web, aunque también podía afectar a Pc doméstico. Nimda (Admin al revés) daba acceso a los atacantes al mismo nivel de acceso que el usuario que esté usando en ese momento la máquina infectada. Si el usuario tiene acceso de administrador, el hacker también.

Tenía varias formas de infectar un sistema: Email, redes locales, descargándolo de un sitio web, puertas traseras creadas por otros virus, buscando vulnerabilidades en IIS, e incluso instalarse a si mismo en la raíz root de los drives c:, d: y e:

El daño.

Nimda causó 635 millones de dolares en pérdidas, no es tanto dinero comparado con los anteriores pero la difusión tan rápida ralentizó significativamente la velocidad de navegación por Internet y colapsó varios sistemas importantes; por ejemplo la Corte Federal de Florida tuvo que volver al papel cuando todo su sistema terminó infectado por una variante de Nimda.

Esto es todo por hoy, no os perdáis la segunda parte que saldrá próximamente; ya la tengo preparada.